Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Workstation (LanmanWorkstation)] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Workstation (LanmanWorkstation)] 'ImagePath' = '%ProgramFiles(x86)%\ProtectService\ProtectService.exe'
Создает следующие сервисы
- 'Workstation (LanmanWorkstation)' %ProgramFiles(x86)%\ProtectService\ProtectService.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\156829\156829.dll
- <Текущая директория>\345.exe
- %ProgramFiles(x86)%\protectservice\protectservice.exe
- C:\prot.bat
- C:\43566574.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %ProgramFiles(x86)%\protectservice\protectservice.exe
Удаляет следующие файлы
- <Текущая директория>\345.exe
Самоудаляется.
Другое
Создает и запускает на исполнение
- '<Текущая директория>\345.exe'
- '%ProgramFiles(x86)%\protectservice\protectservice.exe'
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\156829\156829.dll"' (со скрытым окном)
- '<Текущая директория>\345.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c c:\prot.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c c:\43566574.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\156829\156829.dll"
- '%WINDIR%\syswow64\cmd.exe' /c c:\prot.bat
- '%WINDIR%\syswow64\cmd.exe' /c c:\43566574.bat
